Man sollte meinen, dem US Department of Homeland Security würde so ein Lapsus nicht passieren, aber wie so oft kommt es ganz anders als man denkt. Alles fing eigentlicht recht hamlos an und endete mit einer riesigen Menge von Mails, die tausende Postfächer überfüllte.
Schuld war ein falsch konfigurierter Mailserver, über den laut Medienberichten über 2,2 Millionen Mails verschickt wurden. Es begann alles so, dass ein Newsletter-Abonnent vom DHS seine neue E-Mail Adresse mitteilen wollte und auf den Newsletter antwortete. Jeder richtig konfigurierte Mailserver eine solche E-Mail abweisen, da für Adressänderungen meist separate Adressen vorgesehen sind. In diesem Fall jedoch wurde die Mail des Abonnenten vielmehr an jeden anderen Abonnenten, welcher ebenfalls den Newsletter abonniert hatte, geschickt. Damit war die Lawine ins Rollen gekommen, weil jetzt zig andere Abonnenten auf E-Mail antworteten, die ebenfalls wieder an alle Abonnenten verschickt wurden, bis es dann weit über 2,2 Millionen Mails waren, wie die New York Times berichtete.
Natürlich gab es einige, die die “Gunst der Stunde” nutzten, Job-Bewerbungen oder “traditionellen Spam” über den “Verteiler” verschickten. Erst gegen Abend, als die Techniker des DHS das Problem in den Griff bekommen hatten, entspannte sich die Lage wieder.
Es hätte aber auch schlimmer ausgehen können, wie das SANS-Institut berichtete. Hätte ein Angreifer es geschafft, über diese Lücke einen Zero-Day-Exploit mitzuschicken, hätte man “ein paar Dutzend leichtgläubige Sicherheitsprofis festnageln können“, so das Institut.
Was die so alles geschrieben haben, kann man hier, hier und hier lesen.
